Antivirusschutz
Von der Gegenwart eingeholt
Auch wenn Antivirus-Basisschutz ohne Frage sein muss, genügt er heute nicht mehr, um aktuellen Cyber-Security-Bedrohungslagen erfolgreich zu begegnen. Was früher die Cyberattacke durch einen Virus war, ist heute nämlich der Datendiebstahl. Die Antwort darauf ist Schutz vor Datenexfiltration.
- Warum reicht der klassische Antivirusschutz nicht mehr aus?
- Wie können Anti-Data-Exfiltration-Lösungen ergänzend eingesetzt werden?
Noch wähnen sich Unternehmen mit klassischen Antiviruslösungen hinter traditionellen Firewall-Konzepten in Sicherheit. Tatsächlich aber werden sich all jene Unternehmen immer häufiger Angriffen ausgesetzt sehen. Denn: Auch wenn dieser Antivirus-Basisschutz ohne Frage sein muss, er genügt heute bei Weitem nicht mehr, um aktuellen Cyber-Security-Bedrohungslagen erfolgreich zu begegnen. Was früher die Cyberattacke durch einen Virus war, ist heute nämlich der Datendiebstahl. Die Antwort darauf ist nicht ein aktuellerer Virenschutz, sondern der Schutz vor Datenexfiltration.
Unternehmen haben viele Jahre damit verbracht, verschiedene Lösungen zum Schutz sensibler Daten zu entwickeln und zu implementieren. Der klassische Perimeterschutz ist einer der beliebtesten Ansätze zur Behebung der Sicherheitsprobleme. Die IT-Security setzt dabei weitestgehend auf automatisierte Abläufe. Beispielsweise wird eine Antiviren-Lösung installiert, die sich fortan selbstständig wartet, aktualisiert oder verwaltet. Aber: Zu viele Verantwortliche sind noch immer der Meinung, dass dieser, auf Abwehr basierender Antivirusschutz und eine Firewall genug sind, um IT-Systeme vor Bedrohungen zu schützen. Die Priorität liegt daher in der Aktualisierung.
Tagtäglich gemeldete Angriffe in den Schlagzeilen, zahlreiche Ransomware-Reports von Versicherern oder Dienstleistern und schlichtweg die Liste der Opfer belegen jedoch: Es ist heute eben nicht mehr ausreichend, einen Virenscanner über eingehende Daten laufen zu lassen, um aktuellen Cyber-Security-Bedrohungslagen erfolgreich zu begegnen. Wirkungsvoll ist dabei nicht der Versuch, Virenscans noch aktueller zu machen. Ausreichend Schutz bietet dagegen ein zusätzlicher Ansatz: ADX (Anti Data Exfiltration). Diese zweite Verteidigungslinie ist eine Verbesserung des DLP-Ansatzes (Data Loss Prevention), ohne den komplexen und aufwendigen Konfigurations-Wahnsinn zu übernehmen. ADP schützt durch permanentes Monitoring des ausgehenden Datenverkehrs.
Aufzählung der Unzulänglichkeit
Allein die Funktionsweise von Antiviruslösungen – natürlich sehr stark vereinfacht – zeigt bereits: Ein Virenscan kann niemals so aktuell sein, wie ein Virus selbst. Denn: Ein neuer Virus bleibt schlichtweg unerkannt, bis es erfolgreich ein System befällt. Erst wenn das System befallen wurde und das Virus ab dann mit bestehenden Daten verglichen werden kann, kann es als solches registriert und per Update an Schutzsoftwares ausgespielt werden.
Gleichzeitig gilt, jeder Virenschutz, egal wie up to date, schnell oder teuer er ist, hilft nichts, wenn Mitarbeitende die Schadsoftware aktiv einladen, sich auszutoben: Immer besser getarnt gelingt es Phishing-E-Mails auch die vorsichtigsten Mitarbeitenden in die Irre zu führen. Und mit einem Klick auf den falschen Link ist es schon passiert – so schnell und einfach sind Unternehmen tausende Euro ärmer oder komplett verschlüsselt und damit handlungsunfähig. Nicht immer geht es bei Attacken aber um Erpressung. Manchmal ist das Motiv die gute, alte Industriespionage. Möglich wird diese auch hier durch ausgehenden Datenverkehr, der von Antiviren-Programmen gar nicht überwacht werden kann! Und so können Profiling-Services persönliche Daten mittels digitaler Footprints ungehindert einsehen und das geistige Eigentum von Mitarbeitenden sowie CEOs lesen wie ein Buch. Und wenn die Daten doch nicht zur Spionage taugen, dann dienen sie mindestens zum Verkauf für kommerzielle Zwecke.
Und schließlich ist dann noch das Homeoffice – und damit die neuen Anforderungen an die IT, die das hybride Arbeiten mit sich bringt. Unterm Strich bleibt, dass heimische Arbeitsplätze gegen Ransomware-Angriffe sehr schwach gesichert sind. Gerade die Arbeit von Zuhause ist das Einfallstor für Ransomware. Die Endgeräte der Mitarbeitenden, ob mobil oder stationär, sind selten so gut geschützt, wie ein Firmennetzwerk oder Rechenzentrum und daher oft das primäre Ziel von Attacken.
Einfache Ergänzung
Nicht umsonst wird der Ruf nach neuen, wirkungsvolleren Schutzkonzepten lauter. Sie finden sich immer dann, wenn der Antivirus-Schutz um die Überwachung des ausgehenden Datenverkehrs erweitert wird. Dieses permanente Monitoring verhindert das, was der Viren-Scan alleine nicht kann: Wird das System trotz aller Schutzmaßnahmen befallen, kann sich die Schadsoftware schlichtweg nicht aktivieren. Die Kontrolle des Outbound-Traffics unterbindet ungewollte Kommunikation nach außen in Echtzeit.
ADX-Lösungen (Anti Data Exfiltration) sind klein genug, um auf mobilen Geräten ausgeführt zu werden und müssen nicht im Unternehmensnetzwerk arbeiten. Anstatt den Datenverkehr mit einem Wörterbuch von Angriffssignaturen zu vergleichen, verwenden ADX-Lösungen Verhaltensanalysen, um ungewöhnliche Verhaltensweisen benutzerzentriert zu identifizieren. Im Gegensatz zur herkömmlichen Herangehensweise konzentrieren sich ADX-Lösungen nicht auf die Verteidigung nach außen, sondern überwachen die Daten, die das Gerät verlassen. Die Verhaltensanalyse erkennt Anomalien und stoppt Cyberangriffe wie Ransomware in Echtzeit.
| Klassische Antiviruslösungen müssen um Schutz vor Datenexfiltration ergänzt werden, sonst schützen sie IT-Systeme nicht wirkungsvoll. |
|---|
ADX schützt sogar Systeme, die bereits befallen und erst nach einem Angriff durch ADX abgesichert wurden. Denn: Nach Cyberattacken und nach einer Neuinstallation aus dem Backup sind betroffene Systeme unter Umständen trotzdem nicht frei von Schadsoftware! Zahlreiche prominente Beispiele wie zum Beispiel der Angriff auf die Microsoft Exchange-Server belegen, dass Angriffe stellenweise sehr lange vorbereitet werden. Die Bedrohung ist daher mitunter bereits auch auf dem Backup. Ein Reinstall bringt dann zwar die Daten zurück, aber nicht notwendigerweise die erhoffte Sicherheit. Der Angreifer wird mit dem Backup zurück installiert und es ist nur eine Frage der Zeit, bis er sich wieder aktiviert.
Nur eine dauerhafte Überwachung aller Server und Endpoints kann helfen, präventiv zu agieren, statt mit viel Aufwand zu reagieren. Die Nachsorge auf wiederhergestellten Systemen ist daher unerlässlich. Gleichzeitig ist sie ein wirksamer Schutz vor neuen Angriffen.
Komplementärer Schutz
Klassische Antivirenlösungen und Firewalls sind und bleiben ein Muss in der IT-Sicherheit. Allerdings genügen diese Sicherheitsmaßnahmen nicht mehr, um moderne Bedrohungen abzuwehren. Sie müssen um Maßnahmen zur Anti-Data-Exfiltration ergänzt werden.
Dieser zusätzliche Layer überwacht permanent den ausgehenden Datenverkehr und unterbindet ungewollte Kommunikation nach außen in Echtzeit. Damit schließt er die Lücken, die jede AntivirenlLösung leider hat: Befällt eine Schadsoftware ein System, sei es durch technisches oder menschliches Versagen, kann sie sich nicht aktivieren.
Ein weiterer Vorteil der Überwachung des ausgehenden Datenverkehrs ist, dass auch bereits angegriffene Systeme rückwirkend sicherer gemacht werden. Der Hintergrund ist, dass Schadsoftware mitunter trotz Backup oder Reinstall auf den Systemen bleiben kann. Da Angriffe auf IT-Systeme stellenweise sehr lange vorbereitet werden, bringt ein Reinstall oder ein Backup dann selten die Gewissheit eines bereinigten Systems. Die Gefahr besteht unter Umständen im Hintergrund weiter und wartet auf die nächste Aktivierung.
Lesen Sie mehr zum Thema
